Der Datenschutz beim Betriebssport

Benutzer Accounts und die DSGVO

Fragestellung

In meiner Tätigkeit als Datenschutzbeauftragter werden immer wieder Fragen zum Thema Benutzer-Accounts gestellt. Der folgende Text behandelt die beiden Themen:

  • Ist es zulässig, dass sich Kollegen mit den Zugangsdaten eines anderen anmelden?

    und
  • Besteht eine Verpflichtung, Zugangsdaten oder ähnliches offenzulegen, damit ein anderer diese ggf. verwenden kann?

Aus Sicht der DSGVO können beide Fragen mit einem klaren NEIN beantwortet werden.

Hier die Details:

Ist es zulässig, dass sich Kollegen mit den Zugangsdaten eines anderen anmelden

Nein, das ist ein schwerwiegender Verstoß gegen grundlegende Prinzipien des Datenschutzes und der IT-Sicherheit.

Die Gründe dafür sind:

  • Verlust der Nachvollziehbarkeit (Rechenschaftspflicht): Wenn sich Mitarbeiter Schmidt mit den Daten von Mitarbeiterin Meier anmeldet, ist im System nicht mehr nachvollziehbar, wer eine bestimmte Aktion (z.B. eine Datenänderung, einen Datenexport oder eine Löschung) tatsächlich durchgeführt hat. Dies macht jede Protokollierung und Auditierung unmöglich und verletzt den Grundsatz der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO).
  • Verstoß gegen die Vertraulichkeit: Jeder Benutzeraccount hat spezifische Zugriffsrechte. Durch die gemeinsame Nutzung von Zugangsdaten erhält eine Person möglicherweise Zugriff auf Daten, die sie für ihre Arbeit nicht benötigt und für die sie keine Berechtigung hat (z.B. persönliche e-Mails, Personalinformationen etc.). Dies verstößt gegen das Prinzip der Vertraulichkeit (Art. 5 Abs. 1 lit. f DSGVO).
  • Verletzung der Datensicherheit: Individuelle und persönliche Zugangsdaten sind eine fundamentale technische und organisatorische Maßnahme (TOM) zum Schutz von Daten (Art. 32 DSGVO). Das Teilen dieser Daten hebelt diese Schutzmaßnahme komplett aus.

Besteht eine Verpflichtung, Zugangsdaten oder ähnliches offenzulegen, damit ein anderer diese ggf. verwenden kann?

  • Pflicht zur Geheimhaltung:
    Jeder Mitarbeiter ist verpflichtet, seine persönlichen Zugangsdaten (insbesondere das Passwort) geheim zu halten. Diese Pflicht ergibt sich aus dem Arbeitsvertrag, aus Betriebsvereinbarungen oder IT-Nutzungsrichtlinien und ist eine grundlegende Sorgfaltspflicht.
  • Keine rechtliche Grundlage:
    Ein Vorgesetzter oder Kollege kann Sie nicht rechtmäßig dazu verpflichten, Ihr Passwort preiszugeben. Eine solche Anweisung wäre unzulässig.
  • Persönliche Haftung:
    Sie sind für alle Aktionen verantwortlich, die unter Ihrem Benutzerkonto durchgeführt werden. Wenn Sie Ihr Passwort weitergeben und der Kollege damit einen Schaden oder eine Datenpanne verursacht, sind Sie in der unmittelbaren Verantwortung und müssen nachweisen, nicht selbst gehandelt zu haben.

Wie mache ich es richtig?

Wenn ein Kollege (z.B. im Urlaubs- oder Krankheitsfall) auf bestimmte Daten oder Funktionen zugreifen muss, ist die Weitergabe von Passwörtern immer der falsche Weg. Stattdessen gibt es etablierte und datenschutzkonforme Lösungen:

  • Stellvertreterregelungen:
    e-Mail-Programme und andere Systeme bieten die Möglichkeit, Stellvertreter zu benennen, die dann mit ihrem eigenen Account auf das Postfach oder die Daten des Kollegen zugreifen können.
  • Funktionspostfächer:
    Für geteilte Aufgaben sollten allgemeine, nicht-personalisierte Postfächer oder Accounts eingerichtet werden (z.B. buchhaltung@firma.de).
  • Sauberes Berechtigungskonzept:
    Die IT-Abteilung muss in der Lage sein, einem Benutzer vorübergehend die notwendigen Rechte für eine Vertretung zu geben.
  • Notfallkonzept:
    Für unvorhergesehene Notfälle sollte es einen definierten Prozess geben, bei dem die IT-Administration kontrolliert und protokolliert den notwendigen Zugriff ermöglicht.

(Stand September 2025)

TikTok und die DSGVO

Fragestellung

In meiner Tätigkeit als Datenschutzbeauftragter werden immer wieder Fragen zum Thema TikTok gestellt. Der folgende Text behandelt das Thema und begründet, warum der Einsatz von TikTok nicht empfohlen werden kann:

1. Datenübermittlung in Drittländer (insbesondere China)

Dies ist der größte und fundamentalste Kritikpunkt.

  • Problem:
    TikTok gehört zum chinesischen Konzern ByteDance. Es wurde nachgewiesen und von TikTok mittlerweile auch zugegeben, dass Mitarbeitende in China auf die Daten von europäischen Nutzern zugreifen können.
  • DSGVO-Konflikt:
    Die DSGVO erlaubt die Übermittlung personenbezogener Daten in Länder außerhalb der EU nur, wenn dort ein "angemessenes Datenschutzniveau" herrscht oder spezielle Garantien (wie Standardvertragsklauseln plus zusätzliche Maßnahmen) bestehen. Für China gibt es keinen Angemessenheitsbeschluss. Viel gravierender ist, dass chinesische Sicherheitsgesetze Unternehmen wie ByteDance dazu verpflichten können, Daten an die Regierung und Geheimdienste herauszugeben. Dies steht im direkten Widerspruch zu den Grundrechten und Schutzmechanismen der DSGVO.

2. Mangelnde Transparenz und unklare Rechtsgrundlagen

  • Problem:
    Die Datenschutzerklärung von TikTok ist extrem lang, komplex und für den durchschnittlichen Nutzer (insbesondere für die jugendliche Zielgruppe) kaum verständlich. Es ist oft unklar, welche Daten genau für welchen Zweck und auf welcher Rechtsgrundlage verarbeitet werden.
  • DSGVO-Konflikt:
    Die DSGVO fordert in Art. 12-14 eine transparente, verständliche und leicht zugängliche Information über die Datenverarbeitung. Zudem stützt TikTok viele seiner Datenverarbeitungen auf "berechtigtes Interesse" (Art. 6 Abs. 1 lit. f DSGVO), obwohl für das extensive Tracking und die Personalisierung des "Für Dich"-Feeds nach Meinung vieler Datenschützer eine explizite und informierte Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) erforderlich wäre.

3. Unzureichender Schutz von Minderjährigen

Dies war bereits Gegenstand hoher Strafen, z.B. durch die irische Datenschutzbehörde (dem EU-Hauptsitz von TikTok).

  • Problem:
    In der Vergangenheit waren die Konten von Kindern standardmäßig auf "öffentlich" gestellt, was ihre Daten einem riesigen Publikum preisgab. Zudem sind die Altersverifikationsmechanismen oft unzureichend, sodass auch sehr junge Kinder die Plattform nutzen. Die Verarbeitung der Daten von Minderjährigen für Werbezwecke ist ebenfalls hochproblematisch.
  • DSGVO-Konflikt:
    Die DSGVO sieht einen besonderen Schutz für die Daten von Kindern vor. Einstellungen müssen standardmäßig datenschutzfreundlich sein ("Privacy by Default", Art. 25 DSGVO), und die Einholung der Einwilligung bei Kindern unterliegt strengeren Regeln.

4. Umfangreiche Datensammlung (Verstoß gegen Datenminimierung)

  • Problem:
    Die App sammelt eine enorme Menge an Daten, weit über das hinaus, was für die reine Funktion der App notwendig wäre. Dazu gehören Gerätedaten, Standortdaten, Nutzungsdaten, teilweise sogar biometrische Informationen und Inhalte der Zwischenablage (in früheren Versionen).
  • DSGVO-Konflikt:
    Der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) besagt, dass nur so viele Daten verarbeitet werden dürfen, wie für den festgelegten Zweck unbedingt erforderlich sind. Die Sammelpraxis von TikTok wird hier als exzessiv kritisiert.

Fazit

Obwohl TikTok auf den Druck der Behörden reagiert und einige Einstellungen angepasst hat (z.B. sind Konten von unter 16-Jährigen jetzt standardmäßig privat), bleiben die fundamentalen Probleme bestehen. Insbesondere der mögliche Datenabfluss nach China ist aus Sicht der DSGVO ein kaum lösbarer Konflikt. Aus diesen Gründen kommen die europäischen Datenschutzbehörden immer wieder zu dem Schluss, dass die Nutzung von TikTok in seiner jetzigen Form mit erheblichen Datenschutzrisiken verbunden und in vielen Aspekten nicht mit der DSGVO vereinbar ist.

(Stand Oktober 2025)

Die DSGVO und Pseudonymisierung

Gemäß Artikel 4 lfd. Nr 5 der Datenschutz-Grundverordnung (DSGVO) ist die Pseudonymisierung definiert als:

"die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden."

Einfacher ausgedrückt bedeutet das:

  1. Ersetzung direkter Identifikatoren:
    Direkte Identifikationsmerkmale einer Person (wie Name, Adresse, E-Mail-Adresse) werden durch ein Pseudonym ersetzt (z.B. eine Nummer, einen Code, einen künstlichen Namen).
  2. Hinzuziehung zusätzlicher Informationen notwendig:
    Um die Daten wieder einer konkreten Person zuordnen zu können, benötigt man "zusätzliche Informationen". Das ist quasi der "Schlüssel", der das Pseudonym wieder mit der ursprünglichen Identität verbindet.
  3. Getrennte Aufbewahrung des Schlüssels:
    Dieser "Schlüssel" (die zusätzlichen Informationen) muss getrennt von den pseudonymisierten Daten aufbewahrt werden.
  4. Technische und organisatorische Maßnahmen (TOMs):
    Es müssen Maßnahmen getroffen werden (z.B. Zugriffsbeschränkungen, Verschlüsselung des Schlüssels), die sicherstellen, dass Unbefugte die pseudonymisierten Daten nicht einfach wieder den ursprünglichen Personen zuordnen können.

Wichtige Punkte zur Pseudonymisierung:

  • Pseudonymisierte Daten sind weiterhin personenbezogene Daten: Da die Möglichkeit der Re-Identifizierung (durch den Verantwortlichen oder Befugte) besteht, gelten pseudonymisierte Daten weiterhin als personenbezogene Daten und fallen somit unter den Anwendungsbereich der DSGVO. Dies ist ein wichtiger Unterschied zur Anonymisierung, bei der eine Re-Identifizierung nicht mehr (oder nur mit unverhältnismäßigem Aufwand) möglich sein soll.
  • Datenschutzfreundliche Maßnahme: Pseudonymisierung ist eine wichtige technische und organisatorische Maßnahme, um die Risiken für die Rechte und Freiheiten der betroffenen Personen zu verringern. Sie wird in der DSGVO an mehreren Stellen als geeignete Schutzmaßnahme empfohlen (z.B. in Art. 25 "Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen" und Art. 32 "Sicherheit der Verarbeitung").
  • Vorteile:
    • Erhöht die Datensicherheit und den Datenschutz.
    • Sie kann die Verarbeitung von Daten für bestimmte Zwecke (z.B. Forschung, Statistik, Tests) erleichtern, da die direkte Identifizierbarkeit reduziert wird.
    • Sie kann helfen, die Grundsätze der Datenminimierung und Zweckbindung zu erfüllen.

Beispiel:

In einer Datenbank wird der Name eines Kunden "Max Mustermann" durch die Kundennummer "K12345" ersetzt. Die Zuordnung "K12345 = Max Mustermann" wird in einer separaten, gesicherten Datei gespeichert. Die Hauptdatenbank enthält dann nur noch "K12345" und die dazugehörigen Bestelldaten. Solange der Zugriff auf die separate Datei streng kontrolliert wird, sind die Daten pseudonymisiert.

Zusammenfassend ist Pseudonymisierung eine Methode, um personenbezogene Daten so zu verändern, dass sie nicht mehr ohne Weiteres einer spezifischen Person zugeordnet werden können, wodurch der Schutz dieser Daten erhöht wird, sie aber dennoch als personenbezogene Daten gelten.

Informationspflichten nach DSGVO

Damit Betroffene ihr Recht auf Schutz personenbezogener Daten wahrnehmen können, bedarf es Transparenz bei der Datenerhebung und -nutzung. Deshalb sieht die Datenschutz-Grundverordnung eine Vielzahl von Informationspflichten vor.

  • Transparente Information gem. Art. 12 DSGVO
  • Informationspflicht über die Erhebung gem. Art. 13 und 14 DSGVO
  • Auskunftsrecht gem. Art. 15 DSGVO (Auskunft über die Daten)
  • Recht auf Berichtigung gem. Art. 16 DSGVO (Korrektur von Daten zum Betroffenen)
  • Recht auf Löschung bzw. Einschränkung gem. Art. 17 und 18 DSGVO
  • Mitteilungspflicht gem. Art. 19 DSGVO
  • Recht auf Datenübertragbarkeit Art. 20 DSGVO (Übertragung des Datensatzes in einem gängigen maschinenlesbaren Format)
  • Widerspruchsrecht Art. 21 DSGVO (Widerspruch gegen eine zuvor erteile Einwilligung)

Die DSGVO und ChatGPT

Die in den letzten Wochen steigende Beliebtheit von ChatGPT (und in der Zukunft werden wir hiervon noch weitere Systeme sehen) hat mich bewogen, die Nutzung unter dem Gesichtspunkt der DSGVO zu betrachten.

Das Recht auf Löschung (Vergessenwerden)

Wie allen sog. generativen KIs liegt in der dauerhaften Natur der von diesem System erzeugten Daten das Kernproblem. Die Verarbeitung natürlicher Sprache wird verwendet, um Antworten aus den gesammelten Daten zu erstellen. Dieser Vorgang macht es nahezu unmöglich alle Spuren der persönlichen Daten einer Person zu entfernen und somit steht die Nutzung nicht im Einklang mit der DSGVO Art. 17 das Recht auf Löschung (Vergessenwerden).

Die Datenschutzerklärung von ChatGPT besagt zwar, dass alle Daten vertraulich behandelt werden und die Nutzung nur zu den definierten Zwecken erfolgt. Ausserdem garantieren sie auch, dass die Daten nicht an Dritte weitergegeben werden. Was allerdings nicht erwähnt wird was mit den Daten passiert, die im Hintergrund in den KI-Modellen gespeichert sind. Diese Informationen bleiben nach jetzigem Stand immer erhalten und verstossen somit gegen Art. 17 der DSGVO.

Das Sammeln der Daten zum Training der KI

Tools wie ChatGPT sammeln Milliarden von Daten, auch von Webseiten, die in den Geschäftsbedingungen ausdrücklich das Sammeln von Daten durch Dritte verbieten. Dies stellt auch eine Verletzung der DSGVO dar.

Zugriff des Arbeitgebers auf dienstliche Postfächer

Der Zugriff des Arbeitgebers auf dienstliche Postfächer seiner Mitarbeiter ist ein komplexes Thema, das durch verschiedene rechtliche Aspekte geregelt wird. Im folgenden finden Sie einen Überblick über die wichtigsten Punkte:

Grundsätzliches:

Der Arbeitgeber hat grundsätzlich ein Recht auf Einsichtnahme in die dienstlichen e-Mails seiner Mitarbeiter. Dies ergibt sich aus seinem Direktionsrecht und der Pflicht des Arbeitnehmers zur treuen Pflichterfüllung.

Bedingungen:

Der Zugriff auf dienstliche e-Mails muss jedoch verhältnismäßig sein und die Rechte der Mitarbeiter auf informationelle Selbstbestimmung und Datenschutz berücksichtigen. Der Arbeitgeber darf daher nicht willkürlich oder ohne Grund auf die e-Mails seiner Mitarbeiter zugreifen.

Zulässige Zugriffe:

Der Zugriff des Arbeitgebers auf dienstliche Postfächer muss jedoch verhältnismäßig sein und darf nicht gegen die Privatsphäre der Mitarbeiter verstoßen. Im folgenden finden Sie einige Beispiele für zulässige Fälle:

  • Begründete Zweifel an der ordnungsgemäßen Erfüllung der arbeitsvertraglichen Pflichten: z. B. Verdacht auf Betrug, Unterschlagung oder unzulässige private Nutzung des Dienstpostfachs.
  • Notwendige betriebliche Maßnahmen: z. B. bei einer IT-Störung oder einem Systemwechsel.
  • Vorliegen einer Einwilligung des Mitarbeiters: z. B. im Rahmen einer Schulung oder einer IT-Prüfung.

Unzulässige Zugriffe:

Der Arbeitgeber darf grundsätzlich keine privaten e-Mails seiner Mitarbeiter lesen. Dies gilt auch dann, wenn die e-Mails auf einem dienstlichen Endgerät gespeichert sind.

Datenschutzrechtliche Vorgaben:

Der Zugriff des Arbeitgebers auf dienstliche Postfächer muss die Vorgaben des Datenschutzrechts einhalten. Dies bedeutet insbesondere, dass der Arbeitgeber:

  • Den Zugriff auf die Daten dokumentieren muss.
  • Den Mitarbeitern Auskunft über den Zugriff auf ihre Daten geben muss.
  • Die Daten gelöscht werden müssen, wenn sie nicht mehr benötigt werden.

Zusammenfassend lässt sich sagen, dass der Arbeitgeber unter bestimmten Voraussetzungen Zugriff auf die dienstlichen e-Mails seiner Mitarbeiter hat. Der Zugriff muss jedoch verhältnismäßig sein und die Rechte des Arbeitnehmers auf informationelle Selbstbestimmung und Datenschutz berücksichtigen.

Wer darf eigentlich NICHT Datenschutzbeauftragter sein?

Das Bundesarbeitsgericht (BAG) hat am 06.06.2023 entschieden, dass ein Betriebsrats-Vorsitzender nicht gleichzeitig auch Datenschutzbeauftragter (DSB) sein darf (BAG, Urteil vom 06.06.2023, Az.: 9 AZR 383/19). Das BAG hat die Frage vor seiner Entscheidung dem EuGH vorgelegt und der hat sich zu diesem Thema auch klar geäußert.

Begründung

Laut EuGH kann eine Person in einem Unternehmen nicht gleichzeitig DSB sein und über die Zwecke und Mittel der Datenverarbeitung entscheiden. Dann wäre eine wirksamer Datenschutzkontrolle durch den DSB nicht mehr möglich, er würde sich ja selber kontrollieren.

Das BAG hat in seiner Begründung festgestellt, dass zumindest der Betriebsrats-vorsitzende im Zusammenhang mit seiner Funktion im Betriebsrat über Zwecke und Mittel der Datenverarbeitung entscheidet. Somit ist diese Funktion (DSB) nicht mit der Funktion des Betriebsratsvorsitzenden vereinbar und eine Benennung kann daher widerrufen werden.

Welche Auswirkungen hat dieses Urteil?

Alle Unternehmen, bei denen die leitenden Personen der Mitbestimmungsorgane (Betriebs- oder Personalrat) auch gleichzeitig als DSB berufen sind, sollten diese Person dringend abberufen. In diesen Fällen besteht laut dem Gericht KEINE erforderliche Voraussetzung.

Auch wenn das BAG die Frage, ob ein normales Betriebsratsmitglied DSB sein darf bewusst offen gelassen hat, ist unsere Auffassung, dass dieser Zustand auf Dauer auch keinen Bestand haben wird. Deshalb meine Empfehlung, diese Funktionen alsbald zu trennen.

Wer darf noch kein DSB sein?

Durch den job-bedingten Interessenskonflikt scheiden folgende Personengruppen per Definition von vorne herein aus:

  • Geschäftsführer
  • Vorstände
  • IT-Administratoren
  • Prokuristen
  • sowie Anwälte des Unternehmens

Die o.g. Personen handeln in eigenem Interesse für das Unternehmen. Der DSB sollte hingegen frei von Interessenskonflikten und unabhängig sein, um das Ergebnis datenschutzrechtlicher Vorfälle nicht zu „verfälschen“ und somit nicht sich selbst zu kontrollieren.

Die DSGVO und Cookies

Immer wieder kommt es zu Anfragen zum Thema Cookies und DSGVO. Teilweise durch übermotivierte Datenschutzbeauftragte, teilweise auch durch die Berichterstattung. Im folgenden sind die wichtigsten Punkte zusammengefasst:

EuGH Rechtsprechung

Explizit wird das Thema Cookies in der DSGVO nicht genannt. Die Verordnung trifft keine Regelung zum Thema Cookie-Hinweis und -Datenschutz. Der EuGH hat das Thema zuletzt am 1. Oktober 2019 behandelt. In seiner Entscheidung urteilte er, dass, sofern das Cookie nicht unbedingt erforderlich ist, eine ausdrückliche Cookie-Einwilligung seitens der Webseiten-Betreiber eingeholt werden muss.

Was ist zu beachten?

Gemäß der DSGVO können personenbezogene Daten neben dem Einverständnis auch zum Zwecke der Direktwerbung auf der Rechtsgrundlage des "berechtigten Interesses" verarbeitet werden. Die Abwägung im Einzelfall muss sich ausserdem am Grundsatz der Datensparsamkeit ausrichten. Daten dürfen daher nur erhoben werden, wenn sie zur Erreichung eines bestimmten Zweckes notwendig sind.

Bei der Benutzung von Tracking und / oder Targeting Cookies (z.B. für Reichweitenanalyse oder ähnliches) ist nach Ansicht der deutschen Aufsichtsbehörden regelmäßig eine Einwilligung in die konkrete Datenverarbeitung erforderlich.

Neben dem sog. Cookie Banner, welches explizit zur Einwilligung benutzt wird muss auch in der Datenschutzerklärung auf der Webseite eine Erklärung erfolgen. Hierbei ist es seht wichtig, dass sowohl im Cookie Consent Tool als auch in der Datenschutzerklärung sehr ausführlich beschrieben wird, welche Daten zu welchem Zweck erhoben werden.

Ganz wichtig ist der Punkt, dass vor der Zustimmung noch KEINE Daten erhoben werden dürfen (Ausnahme sind die unbedingt erforderlichen Cookies).

Zusammenfassung

  • Nicht für alle Cookies wird eine Einwilligung benötigt.
    Session-Cookies, Cookies für Logins oder Warenkörbe, die keine personenbezogene Daten weitergeben (technisch notwendige Cookies), sind vom berechtigten Interesse abgedeckt.
  • Tracking und Werbe-Cookies, vor allem von Drittanbietern benötigen eine Einwilligung
    Das sind vor allem Cookies, die für die eigentlichen Funktionen der Webseite nicht zwingend notwendig sind und die Daten dann ggf. mit anderen Daten und Diensten verknüpfen.

Allgemeine Erlaubnistatbestände

Allgemeine gesetzliche Erlaubnistatbestände für die Verarbeitung personenbezogener Daten ergeben sich aus Art. 6 Abs. 1 lit. b-f DSGVO. Hiernach dürfen personenbezogene Daten zu folgenden Zwecken verarbeitet werden

  • zur Erfüllung vertraglicher- und vorvertraglicher Pflichten ( Art. 6 Abs. 1 lit. b DSGVO),
  • zur Erfüllung rechtlicher Pflichten ( Art. 6 Abs. 1 lit. c DSGVO),
  • zum Schutz lebenswichtiger Interessen ( Art. 6 Abs. 1 lit. d DSGVO),
  • zur Wahrnehmung öffentlicher Interessen und zur Ausübung öffentlicher Gewalt ( Art. 6

    Abs. 1 lit. e DSGVO) sowie

  • zur Wahrung berechtigter Interessen ( Art. 6 Abs. 1 lit. f DSGVO).

Zur Rechtfertigung der Datenverarbeitung zur Vertragserfüllung gemäß Art. 6 Abs. 1 lit. b DSGVO muss der Verantwortliche prüfen und sicherstellen, dass die Datenverarbeitung zur Vertragserfüllung erforderlich ist. Der Umfang zulässiger Verarbeitungsvorgänge ergibt also insbesondere aus der vertraglichen Leistungsbestimmung.

Die Verarbeitung im berechtigten Interesse des Verantwortlichen gemäß Art. 6 Abs. 1 lit. f DSGVO erfordert, dass diese erforderlich ist und keine berechtigten Interessen der betroffenen Personen entgegenstehen. Bei dieser Interessenabwägung sind Interessen, Grundrechte und Grundfreiheiten der Betroffenen zu berücksichtigen. In Art. 6 Abs. 1 lit. f DSGVO ist jetzt ausdrücklich geregelt, dass bei der Verarbeitung personenbezogener Daten von Kindern deren Interessen in besonderem Maße zu berücksichtigen sind.

Aus Art. 6 Abs. 1 lit. f DSGVO und dem Erwägungsgrund 47 ergeben sich die Kriterien der angemessenen Beziehung zwischen dem Verantwortlichen und dem Betroffenen sowie der Vorhersehbarkeit der Datenverarbeitung für den Betroffenen. Soweit daher z.B. eine gewachsene Kundenbeziehung zwischen Verantwortlichem und Betroffenen besteht, sind allgemein übliche Datenverarbeitungen leichter zu rechtfertigen. Auch nach der neuen Rechtslage wird es aber auf eine Prüfung und Bewertung des konkreten Verarbeitungszusammenhangs im Einzelfall ankommen.

Verhaltensmaßnahmen im Datenschutz

• keine verfänglichen Gespräche in der Öffentlichkeit 

• Auskünfte am Telefon erst erteilen, wenn das Gegenüber identifiziert und berechtigt ist 

• Wenn Faxe gesendet werden, die Zielnummer prüfen 

• kein Schriftgut in öffentlichen Bereichen liegen lassen 

• Schriftverkehr und wichtige Dokumente gehören nachts unter Verschluss 

• keine Weitergabe von Passwörtern an andere Personen

• private von dienstlichen Passwörtern trennen 

• keine Weitergabe von Schlüsseln, für die Sie verantwortlich sind 

• keine Schriftstücke, Akten oder Computer sichtbar im Fahrzeug liegen lassen 

• das „clean desk“ Prinzip ist zu beherzigen 

• Sobald man den Schreibtisch verlässt, ist der Bildschirm (Computer) zu sperren!

e-Mail Kommunikation

Grundsätzlich gilt: alle personenbezogenen Daten, die elektronisch übermittelt werden, müssen verschlüsselt sein. Die Mindestanforderung ist hier, bei Office-Dokumenten und PDF-Dateien ein Passwort für die Öffnung zu hinterlegen.

Besser ist es, die Daten als Anhang zu verschlüsseln und dann zu versenden. (z.B. mit encrypto https://macpaw.com/encrypto

Optimal ist die direkte Verschlüsselung mit dem öffentlichen Schlüssel des Empfängers.

Datenverarbeitung auf privaten Geräten

Voraussetzung für die Verarbeitung auf privaten Geräten ist unter anderem, dass ein hinreichender technischer Zugriffsschutz auf die gespeicherten Daten besteht. Insofern muss ein Passwortschutz eingerichtet werden. Durch ein abschließbares Arbeitszimmer muss sichergestellt werden, dass Mandantendaten nicht dem unberechtigten Zugriff Dritter ausgesetzt werden. Benutzen bspw. Familienmitglieder den PC, müssen Verschlüsselungstechniken angewandt werden sowie Sicherungskopien erstellt werden.

Entsorgung von Schriftgut

Überall, wo personenbezogene Daten verarbeitet werden, müssen Datenträger aufbewahrt, transportiert und nach Ablauf der Löschfristen vernichtet werden. Neben magnetischen Datenträgern (Disketten, Magnetbänder, Magnetplatten) und optischen Datenträgern (Mikrofiche, CD-ROM, WORM, MO) ist Papier weiterhin ein wichtiger Datenträger. Auch dürfen in diesem Zusammenhang die Farbbänder aus den Schreibmaschinen sowie den Ausweis-Druckern nicht unberücksichtigt bleiben! Auf Datenträgern gespeicherte personenbezogene Daten sind durch technische und organisatorische Maßnahmen zu schützen. Es ist zu verhindern, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können (Datenträgerkontrolle). Insbesondere Schriftgut, das von jedermann unmittelbar gelesen werden kann, sollte vor unbefugter Kenntnisnahme geschützt aufbewahrt werden. Diese datenschutzrechtlichen Forderungen sind in jedem Fall auch bei der Vernichtung bzw. Entsorgung nicht mehr benötigter Datenträger zu beachten.

Eine ordnungsgemäße Entsorgung erfordert auch das Aufstellen von Abfallbehältern, die vor einem unberechtigten Zugriff geschützt sind bzw. statt dieser den Einsatz eines Aktenvernichters oder eines Schredders. So kann vorbeugend ein eventueller Datenmissbrauch durch Unbefugte oder Achtlosigkeit der Mitarbeiter verhindert werden.

Sofern Unterlagen nicht archivwürdig sind, sollten folgende Grundsätze für eine datenschutzrechtliche Entsorgung von Schriftgut mit personenbezogenen Daten beachtet werden:

  • Gesetzlich vorgeschriebene Löschungsfristen sind einzuhalten.
  • Die Vernichtung von Schriftgut im eigenen Sachbereich mittels eines Aktenvernichters oder eines Schredders ist die einfachste und zugleich sicherste Lösung. Das Sammeln von zu vernichtendem Datenmaterial sollte immer in Behältern erfolgen, die vor unbefugtem Zugriff geschützt sind.
  • Die Vernichtung sollte möglichst umgehend erfolgen.
  • Wird mit der Entsorgung eine andere Stelle beauftragt, so handelt es sich hierbei um Auftragsdatenverarbeitung. Der Auftrag zur Vernichtung der personenbezogenen Daten, die Festlegung zu den technischen und organisatorischen Maßnahmen sowie die Zulassung von Unterauftragsverhältnissen sind schriftlich festzulegen. Der Auftraggeber trägt weiterhin die Verantwortung für eine datenschutzgerechte Vernichtung seiner Daten. Er sollte sich persönlich vor Ort von der sicheren Entsorgung seiner Daten durch den Auftragnehmer überzeugen.
  • Die Einhaltung der Maßnahmen ist zu kontrollieren.

Auskunftsersuchen und andere Rechte der Betroffenen

Ein jeder Betroffener (Mitarbeiter, Kunde, Mitglied, etc.) kann folgende Rechte einfordern:

  • Auskunftsrecht gem. Art. 15 DSGVO (Auskunft über die Daten)
  • Recht auf Berichtigung gem. Art. 16 DSGVO (Korrektur von Daten zum Betroffenen)
  • Recht auf Löschung bzw. Einschränkung gem. Art. 17 und 18 DSGVO
    Nach Art. 17 DSGVO kann ein Betroffener die Löschung seiner Daten fordern. Hierbei ist jedoch zu beachten, dass nach §257 HGB und §147 AO Belege für eine gewisse Zeit aufbewahrt werden müssen. Dies gilt auch für den e-Mail Verkehr und die eingegangene Löschanfrage.
  • Recht auf Datenübertragbarkeit Art. 20 DSGVO (Übertragung des Datensatzes in einem gängigen maschinenlesbaren Format)
  • Widerspruchsrecht Art. 21 DSGVO (Widerspruch gegen eine zuvor erteile Einwilligung)

Bitte jedem Ersuchen ist bitte der Datenschutzbeauftragte bzw. die Geschäftsleitung zu unterrichten, denn die Regelfrist für eine Antwort beträgt 1 Monat.

sichere Passworte

  • Bei Passworten gilt grundsätzlich: Je länger, desto besser.
  • Passwörter sollten mindestens 8 Zeichen lang, dann aber komplex sein und aus Groß- und Kleinbuchstaben, Ziffern sowie Sonderzeichen bestehen. Lange Passwörter ab 20 Zeichen können hingegen auch weniger komplex sein.
  • Benutzen Sie einen Satz aus der Bibel samt Kapitel und Vers. Aus "Vater, in deine Hände befehle ich meinen Geist", Lukas Kapitel 23, Vers 46 wird bei Verwendung der ersten Buchstaben und der Nummern das Passwort VidHbimGL2346.

Datenpanne (Art. 33 DSGVO)

Eine Datenschutzpanne (Art. 33 DSGVO) ist jede “Verletzung des Schutzes von personenbezogenen Daten“ (nicht nur z.B. von sensiblen Daten wie aus dem Gesundheits- oder Bankenbereich). Immer wenn ein Hacker-Angriff vorliegt, wenn Angaben aus Versehen an einen falschen Empfänger geschickt werden oder wenn ein ähnlicher Fall vorliegt, in dem personenbezogene Daten einem Unbefugten zur Kenntnis gelangen, liegt eine Datenpanne vor.

Einzige Ausnahme: Die Daten waren verschlüsselt oder der Vorfall führt aus ähnlichen Gründen „voraussichtlich nicht zu einem Risiko“ für die Betroffenen.

Jeder, dem eine Datenpanne auffällt, muss diese unverzüglich der Geschäftsleitung oder dem Datenschutzbeauftragten melden. Diese Meldung kann formlos sein, muss aber das Datum und die Uhrzeit, wann die Panne passiert ist, enthalten.

Jede Panne muss bei der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden (!) gemeldet werden, nachdem sie bekannt wird. Wenn es länger dauert, muss die Verzögerung begründet werden.

Auch müssen diejenigen, die von einer Panne betroffen sind, ebenfalls informiert werden. Die Information der Betroffenen kann formlos erfolgen und unterliegt nicht einer Zeitvorgabe, sollte aber schnellstmöglich erfolgen.

Beispiele aus der Praxis:

  • e-Mail Verteiler mit Adressen in CC und nicht BCC
  • Gestohlener Laptop ohne verschlüsselte Daten
  • Verlorener USB-Stick ohne Verschlüsselung
  • Schmierpapier zum Malen für die Kinder enthielt Bewertungen auf der Rückseite
  • e-Mail an Vereinsmitglieder, mit unverschlüsselten Daten vom ganzen Verein (unterschiedliche Reiter in Excel!)

Datentransport (§64 Abs. 3 Satz 8 BDSG)

Grundsätzlich gilt: alle personenbezogenen Daten, die elektronisch übermittelt werden, müssen verschlüsselt sein. Die Mindestanforderung ist hier, bei Office-Dokumenten und PDF-Dateien ein Passwort für die Öffnung zu hinterlegen. Dies gilt für e-Mails, USB-Sticks, Platten und Bänder jeder Art.

Wo ist der Datenschutz geregelt

Europaweit in der DSGVO, deutschlandweit als Ergänzung im BDSG.

Im StGb, §201 Vertraulichkeit des Wortes sowie §202 Briefgeheimnis.

Kunsturhebergesetz §§22 ff Recht am eigenen Bild.

Personenbezogene Daten (Art. 5 DSGVO)

Personenbezogene Daten können in Papierform, als Akte, als gesprochenes Wort, als bildliche Darstellung oder in digitaler Form vorliegen. In allen Formen ist die Verarbeitung der DSGVO unterworfen.

Datenschutz, die Erste

Hier werden wir in loser Folge Informationen zum Thema Datenschutz veröffentlichen.

Neben den einzelnen Informationen werden wir auch in 2024 mindestens 4 Kurse zum Thema Datenschutz anbieten.

Die neuesten Informationen stehen immer oben!